Accès, rectification, effacement, portabilité, etc. : les droits des personnes concernées par un traitement de données sont désormais renforcés. A quelles demandes les entreprises peuvent-elles être confrontées ?

Salariés de l’entreprise, clients, prospects… Depuis l’entrée en application du règlement général de protection des données (RGPD), le responsable de traitement d’une entreprise doit se préparer à recevoir diverses requêtes de la part des personnes dont il collecte les données.

Informations obligatoires

Le responsable de traitement doit déjà tenir à disposition des personnes concernées les informations suivantes (art.13 du RGPD) :

  • l’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • les finalités poursuivies par le traitement ;
  • l’existence du droit d’introduire une réclamation auprès de la CNIL et les coordonnées de la Commission ;
  • l’existence du droit de demander au responsable de traitement : l’accès aux données, leur rectification, leur effacement et la limitation du traitement des données.
Droit d’accès

La personne concernée peut lui demander l’accès à ses données ainsi qu’aux informations suivantes notamment (art. 39 de la loi et 15 du RGPD) :

  • les finalités du traitement ainsi que sa base juridique ;
  • les catégories de données concernées ;
  • les destinataires ou catégories de destinataires auxquels les données ont été communiquées, en particulier les destinataires qui sont établis dans des États hors UE ou au sein d’organisations internationales ;
  • la durée de conservation envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • la communication des données en cours de traitement ainsi que toute information disponible quant à leur source.

Depuis le 25 mai, les entreprises disposent du délai d’un mois pour répondre à une demande de droit d’accès. Elles ne sont toutefois pas tenues d’y répondre lorsque ces demandes sont « manifestement abusives notamment par leur nombre, leur caractère répétitif ou systématique » ou si elles « ne sont pas conservées. Par exemple, les enregistrements réalisés par un dispositif de vidéosurveillance sont conservés normalement 30 jours maximum. Ils sont détruits à l’issue de ce délai ».

Rectification et effacement (art. 40 de la loi et 16 et 17 du RGPD)

La personne concernée peut demander à :

  • rectifier les données qui sont inexactes,
  • les compléter, y compris en fournissant à cet effet une déclaration complémentaire ;
  • les effacer « lorsque le traitement est réalisé en violation des dispositions de la [loi Informatique et libertés], ou pour respecter une obligation légale à laquelle est soumis le responsable de traitement » (les cas d’ouverture du droit à l’effacement sont précisés à l’article 17 du RGPD).
Portabilité (art. 20 du RGPD)

Le droit à la portabilité permet à une personne de récupérer ses données « sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers ». Attention, ce droit est limité aux données personnelles fournies par la personne concernée (par exemple, pour créer un compte en ligne), traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.

Le G29, désormais remplacé par le comité européen de protection des données, recommande aux entreprises « d’offrir aux personnes la possibilité de télécharger directement leurs données personnelles » et « de ne pas faire obstacle à la transmission de ces données à un autre responsable du traitement, soit par l’intermédiaire de la personne concernée, soit directement lorsque c’est techniquement possible ».

Dérogations et restrictions

Dans certains cas limitativement énumérés par la loi, le responsable de traitement peut refuser de faire droit à la demande qui lui est adressée. Il peut ainsi « limiter le traitement » au lieu de procéder à l’effacement des données :

  • lorsque leur exactitude est contestée par la personne concernée sans qu’il soit possible de déterminer si les données sont exactes ou non,
  • ou lorsque les données « doivent être conservées à des fins probatoires ».

Le responsable de traitement doit alors informer la personne de son refus de rectifier ou d’effacer ses données, de limiter le traitement de ses données, ainsi que des motifs du refus. Lorsque les données ont été rectifiées ou effacées ou que le traitement a été limité, le responsable de traitement le notifie aux destinataires afin que ceux-ci le fassent à leur tour.

Les droits d’information, d’accès, de rectification, d’effacement des données peuvent par ailleurs être retardés, limités ou refusés (art. 23 du RGPD) dans certains cas. Ces restrictions doivent notamment être justifiées afin :

  • d’éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ;
  • d’éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
  • de protéger la sécurité publique, la sécurité nationale ou les droits et libertés d’autrui.

Source – Actuel CE